- 首頁
- /
- 文章
Webex Calling 的安全性需求
在此文章中本文適用於網路管理員,尤其是想要使用Webex Calling的防火牆和 Proxy 安全性管理員。 在其組織內。
若要了解防火牆和存取需求的連接埠參考資訊,請參閱 Cisco Webex Calling 的連接埠參考資訊。
對端點的需求
Webex Calling Edge
若要執行 SIP 註冊或呼叫,請完成下列步驟:
-
找出啟用 Edge 節點的 SIP 終端主機位址。
-
完成與使用者和裝置組態相關的任何先決條件。
-
確保端點已與公用網路連線,以便啟動服務探索。
-
使用區域或資料中心特定的佈建組態,來完成引導端點的先決條件。此組態可幫助取得與服務探索相關的網域名稱字尾。
比較 IPv4 與 IPv6
裝置可在單版本或雙堆疊模式下運作。組態決定了對偏好通訊協定的變更,且這些變更並不屬於服務探索的一部分。
-
單堆疊模式:僅啟用一個 IP 通訊協定(例如 IPv4),而忽略其他通訊協定位址。
-
雙堆疊模式:透過組態,選擇偏好的 IP 版本。
用戶端會認為所有偏好位址的優先順序皆低於(即,偏好)該 IP 的所有位址。如果您偏好使用 IPv4,則在嘗試所有 IPv4 位址前,應先嘗試使用 IPv6 位址。如果所有位址都失敗,系統會再次進入週期,並以優先順序最低的偏好通訊協定位址開始。
收到推播通知後註冊的行動用戶端可以根據先前的註冊,來決定是否最佳化該模式。
從 DNS SRV 位址解析主機位址
在佈建中取得的端點組態檔中,網域指示器會指定用於探索存取 Edge 服務的網域名稱。以下為網域名稱的範例:
wxc.edge.bcld.webex.com從此範例可以看出,為此網域執行 DNS SRV 查找的端點後,可能會產生類似以下的回應:
# nslookup -type=srv_sips 。_tcp 。 wxc.edge.bcld.webex.com_sips 。_tcp .wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com。_sips。_tcp .wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1。 bcld.webex.com。 在此個案中,SRV 記錄指向 AAA 記錄。
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com 在此範例中,系統以不同的權重和優先順序來通知所有主機,以便聯絡連接埠 5061。
請考慮這些端點需求。
-
端點必須使用
_sips。_tcp(服務和通訊協定組合)作為字首,以執行DNS SRV查找以取得主機位址,以起始基於TLS的通訊。 -
端點必須針對 DNS SRV 位址區段的主機位址解析度中所述的條件,來執行 DNS SRV 查找。
-
端點必須遵循每個主機位址所發佈的主機、連接埠、權重和優先順序。此外,在 SIP 註冊期間建立套接字連線時,還必須建立主機到連接埠的親和性。
-
RFC 2782 針對 DNS SRV 記錄的使用情況作出了說明,解釋主機選擇標準應依優先順序和權重而定。
對 SIP 和媒體的需求
|
需求 |
說明 |
|---|---|
|
公開金鑰加密所需的信任憑證 |
請參閱文章,了解 Webex 憑證的簽署授權單位和裝置上所需的根 CA |
|
支援安全 SIP 的 TLS 版本 |
TLS 1.2 |
|
支援安全 SIP 的 TLS 密碼 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
|
支援安全媒體的 SRTP 金鑰 |
AES_CM_128_HMAC_SHA1_80 |
使用 mTLS(雙向 TLS)時所需的安全 SIP
此處提供了這些需求的詳細說明。
您需具備簽署憑證才能成功授權和驗證來自 trunk 的呼叫。憑證必須符合下列需求:
-
憑證必須由 中提及的 CA 簽署對Cisco Webex音訊和視訊平台的呼叫支援哪些根憑證授權單位?
-
上傳 中提及的信任組合對Cisco Webex音訊和視訊平台的呼叫支援哪些根憑證授權單位?上傳至 CUBE。
-
憑證應永久有效:
-
簽署的憑證必須一律具有有效的到期日。
-
根或中間憑證必須具有有效的到期日,且不能被撤銷。
-
憑證必須為簽署狀態,以供用戶端和伺服器使用。
-
憑證必須包含完整網域名稱 (FQDN) 作為憑證中的一般名稱或主體別名,且在 Control Hub 中應選擇 FQDN。例如:
-
從您組織的 Control Hub 進行設定的 trunk(使用 london.lgw.cisco.com:5061作為 FQDN)必須在憑證 CN 或 SAN 中包含 london.lgw.cisco.com。
-
從您組織的 Control Hub 進行設定的 trunk(使用 london.lgw.cisco.com作為 SRV)必須在憑證 CN 或 SAN 中包含 london.lgw.cisco.com。在 SAN 中,SRV 位址所解析(CNAME/A 記錄/ IP 位址)的記錄為選填。
-
-
您可以與多個本機閘道共用憑證,但是,請確保其符合 FQDN 的需求。
-
超出範圍
本文章不包括以下與網路安全相關的資訊:
-
針對 CA 和密碼的 F5 需求
-
用於下載 Webex 防火牆規則的 API(適用於 HTTP)。
-
信任封包的 API
-
防火牆需求和 ALG 停用
